Cyber True Crime: The Affiliate
A Canadian man has been charged by the FBI of being one of the world’s top cybercriminals, making tens of millions of dollars as an agent of a shadowy international criminal organization known as NetWalker. This is his story.
In this 8-part series, we’ll explore this true crime story - which continues to unfold even as the global ransomware epidemic rages in countries around the world. We’ll cover the targets of NetWalker, which range from healthcare and education, to telecommunications and transportation logistics. This series will take us from the city of Gatineau, Quebec, to servers in Poland and Bulgaria and involves the investigative expertise of the FBI and RCMP. In this first instalment, we’ll go over how ransomware works, the ransomware-as-a-service model and where NetWalker fits into all of this.
Cybercrimes start and end with people. They start with the motivations of people who seek to enrich themselves regardless of the harm, pain and suffering they cause. They prey on their target’s fears and depend on you acting without fully considering the situation. Most of the time, they use known manipulation tactics to coerce individuals to give up sensitive information such as login credentials, personal information and other confidential data in order to hack into an organization’s network and steal information.
Known system vulnerabilities are also exploited to gain access and move undetected through an organization’s network, stealing and compromising data as they go. In recent years, ransomware gangs have become increasingly popular, as ransomware has become one of the top cyber threats. Cybercriminals use ransomware to encrypt files which can only be decrypted using a decryption provided by the ransomware gang for a ransom.
Ransomware has been a huge money maker.
It takes a community to commit a cybercrime.
When it comes to ransomware, it usually isn’t a single individual acting on their own, but an organized group of folks acting as either developers or affiliates. Developers create the ransomware code and tools needed to encrypt the data, while affiliates implement and follow through with the attack. This way of conducting a ransomware attack is known as ransomware-as-a-service (RaaS) as the developers are providing the affiliates with the service for a fee.
RaaS can operate with developers selling the code and tools needed to conduct the attack to affiliates outside their criminal organization, or they can provide it to affiliates within their gang for a price and cut of the ransom when it’s paid. The RaaS model is popular as it benefits both developers and affiliates: the developers are guaranteed an income whether or not the target organization pays the ransom as the affiliates pay them in advance, and the affiliates don’t need to be exceptionally tech-savvy since they only need to know how to implement the ransomware – not create and sustain it.
NetWalker has been advertise as a RaaS since March of 2020, according to documents produced by the FBI. Like other RaaS models, it is made up of developers who create the ransomware and affiliates who implement it to the organizations and companies targeted. As mentioned in an unsealed FBI document, within NetWalker, the affiliates are also responsible for searching and researching “high-value” target organizations to launch attacks on using ransomware code packages created by the developers.
Organizations are targeted either because of the valuable, confidential data they possess, which could disrupt the functionality of the organization, or because of ties the information may hold to other organizations, individuals or other private affiliations.
A multi-pronged attack
Like most ransomware gangs, NetWalker not only encrypts their target’s data, but also steals it and publishes it online. According to the investigation conducted by the FBI, the stolen data includes confidential business data, individual personal identifying information, medical records and educational records. It’s generally believed that only if the target does not pay the ransom their data will be published online; however, this is not always the case, and like most criminal organizations, NetWalker does not always play by the rules they’ve created.
In May of 2020, the FBI came across the NetWalker Blog which helps the ransomware gang publish stolen data from targeted organizations. Once on the dark web, the NetWalker Blog is easily accessible to any and all cybercriminals as it’s not encrypted. FBI surveillance recorded in an unsealed FBI document, reveals that, in their entries, the NetWalker Blog names the targeted organization, a summary of their services and a link to where or when the organization’s data will be published. The Blog also posts screenshots of the confidential information to prove that they’re serious, a scare tactic other ransomware gangs also partake in.
Stay tuned for Part 2 where we’ll tell the story of Sebastien Vachon Desjardins and begin to unravel how he scammed organizations out of millions of dollars through his affiliation with NetWalker.
The more you know
Understanding what motivates criminals, who they are and how they work is a vital part of building a more resilient organization. It helps make cybersecurity more real for everyday people and helps individuals and organizations develop plans to better protect themselves from cyber threats. Please consider sharing this series to help more people understand 21st-century crime and how to protect themselves.
Un véritable cybercrime : l’histoire de l’affilié
Un Canadien a été accusé par le FBI d’être l’un des cybercriminels parmi les plus prolifiques au monde, empochant des dizaines de millions de dollars en tant qu’agent d’une organisation criminelle internationale obscure connue sous le nom de NetWalker. Voici son histoire.
Dans cette série en 8 parties, nous explorerons cette véritable histoire de crime, dont les développements continuent alors qu’une épidémie mondiale de rançongiciels fait rage dans tous les pays. Nous couvrirons les cibles de NetWalker, qui vont des secteurs de la santé et de l’éducation à ceux des télécommunications et de la logistique du transport. Cette série nous mènera de la ville de Gatineau au Québec à des serveurs en Pologne et en Bulgarie, et impliquera l’expertise d’enquête du FBI et de la GRC. Dans cette première partie, nous passerons en revue le fonctionnement des rançongiciels, le modèle du rançongiciel-service, ainsi que la place de NetWalker dans tout cela.
Les cybercrimes commencent et se terminent avec les gens. Ils commencent par les motivations d’individus qui cherchent à s’enrichir indépendamment du mal, de la douleur et de la souffrance qu’ils causent. Ils tirent profit de la peur de leurs cibles et ont besoin que les individus agissent sans tenir pleinement compte de la situation. La plupart du temps, ils utilisent des tactiques de manipulation connues afin de contraindre les individus à donner des informations sensibles telles que des identifiants de connexion, des informations personnelles et d’autres données confidentielles afin de pirater le réseau d’une organisation et voler des informations.
Les vulnérabilités connues des systèmes sont également exploitées par ces individus pour leur permettre d’accéder et de se déplacer sur le réseau d’une organisation sans être détectés afin de voler et compromettre des données. Ces dernières années, les groupes organisés qui utilisent des rançongiciels sont devenus de plus en plus courants, à mesure que les rançongiciels se sont hissés au sommet des cybermenaces les plus communes. Les cybercriminels utilisent des rançongiciels pour crypter des fichiers qui ne peuvent être déchiffrés qu’à l’aide d’une clé de déchiffrement fournie par le groupe organisé en échange d’une rançon.
Les rançongiciels ont permis à ces groupes d’empocher des sommes considérables.
Commettre un crime en ligne nécessite toute une communauté.
En ce qui concerne les rançongiciels, il ne s’agit généralement pas d’une personne agissant seule, mais d’un groupe organisé de personnes agissant en tant que développeurs ou affiliés. Les développeurs créent le code des rançongiciels et les outils nécessaires pour crypter les données, tandis que les affiliés mettent en œuvre les attaques et assurent leur bon déroulement. Cette façon de mener une attaque au rançongiciel est connue sous le nom de « rançongiciel-service » ou RaaS, (pour ransomware-as-a-service), car les développeurs fournissent aux affiliés le service moyennant des frais.
Les développeurs peuvent vendre à des affiliés en dehors de leur organisation criminelle le code et les outils nécessaires pour mener l’attaque, ou ils peuvent le fournir à des affiliés au sein de leur propre organisation pour un prix fixe ainsi qu’une portion de la rançon lorsqu’elle est payée. Le modèle RaaS est populaire, car il profite à la fois aux développeurs et aux affiliés : les développeurs ont la garantie d’obtenir un revenu, et ce que l’organisation cible paie ou non la rançon, car les affiliés les paient à l’avance. De leur côté, les affiliés n’ont pas besoin d’être exceptionnellement technophiles, car ils ont simplement besoin de savoir comment utiliser le rançongiciel, et n’ont pas à savoir comment le créer ou le maintenir.
Selon des documents publiés par le FBI, NetWalker est identifié comme un RaaS depuis mars 2020. Comme d’autres modèles de RaaS, le groupe est composé de développeurs qui créent les rançongiciels et d’affiliés qui lancent les attaques contre les organisations et entreprises ciblées. Comme le mentionnait un document rendu public par le FBI, au sein de NetWalker, les affiliés sont également responsables de trouver des organisations cibles de « grande valeur » et de faire des recherches sur ces dernières afin de lancer des attaques qui utilisent des codes sources créés par les développeurs.
Les organisations sont ciblées soit en raison des données précieuses et confidentielles qu’elles possèdent, ce qui pourrait perturber la fonctionnalité de l’organisation, soit en raison des liens que les renseignements peuvent avoir avec d’autres organisations, personnes ou affiliations privées.
Une attaque à plusieurs volets
Comme la plupart des groupes organisés qui utilisent des rançongiciels, NetWalker agit non seulement en cryptant les données de leur cible, mais aussi en les dérobant avant de les publier en ligne. Selon l’enquête menée par le FBI, les données volées comprennent des données commerciales confidentielles, des informations d’identification personnelle, des dossiers médicaux et des dossiers scolaires. On pense généralement que ce n’est que si la cible ne paie pas la rançon que ses données seront publiées en ligne; cependant, ce n’est pas toujours le cas, et comme la plupart des organisations criminelles, NetWalker ne joue pas toujours selon les règles qu’ils ont eux-mêmes établies.
En mai 2020, le FBI est tombé sur le blogue de NetWalker qui aide le groupe organisé à publier des données volées aux organisations ciblées. Une fois publié sur le Web clandestin, le blogue de NetWalker est facilement accessible à tous les cybercriminels, car son accès n’est pas chiffré. Un document rendu public par le FBI relatant les données de surveillance sur le groupe révèle que dans leurs entrées, le blogue NetWalker nomme l’organisation ciblée, donne un résumé de leurs services et fournit un lien vers les données de l’organisation ou informe le moment où elles seront publiées. Des captures d’écran des informations confidentielles sont aussi publiées par le groupe pour prouver que la menace est sérieuse, une tactique effrayante également utilisée par d’autres organisations criminelles.
Demeurez à l’affût pour la partie 2 de cette série, dans laquelle nous raconterons l’histoire de Sébastien Vachon Desjardins et commencerons à démêler comment il a escroqué des organisations pour des millions de dollars grâce à son affiliation avec NetWalker.
Plus vous en savez
Comprendre ce qui motive les criminels, qui ils sont et comment ils travaillent est essentiel pour assurer la résilience des organisations. S’informer contribue à rendre la cybersécurité plus tangible pour les gens ordinaires et permet aux individus et aux organisations d’élaborer des plans pour mieux se protéger contre les cybermenaces. Partagez cette série pour aider plus de gens à comprendre la criminalité au 21e siècle et apprendre comment se protéger.
Cyber True Crime: The Affiliate
Un hombre canadiense ha sido acusado por el FBI de ser uno de los principales ciberdelincuentes del mundo; ganaba decenas de millones de dólares como agente de una oscura organización criminal internacional conocida como NetWalker. Esta es su historia.
En esta serie de 8 partes, exploraremos esta historia de crímenes reales, que continúa desarrollándose mientras la epidemia global de ransomware hace estragos en países de todo el mundo. Cubriremos los objetivos de NetWalker, que van desde la atención médica y la educación, hasta las telecomunicaciones y la logística del transporte. Esta serie nos llevará desde la ciudad de Gatineau, Quebec, hasta servidores en Polonia y Bulgaria, e involucra la experiencia investigativa del FBI y la RCMP. En esta primera entrega, repasaremos cómo funciona el ransomware, el modelo de ransomware como servicio y dónde encaja NetWalker en todo esto.
Los ciberdelincuentes comienzan y terminan con las personas. Comienzan con las motivaciones de las personas que buscan enriquecerse independientemente del daño, el dolor y el sufrimiento que causan. Se aprovechan de los miedos de sus objetivos y dependen de que actúes sin tomar en cuenta completamente la situación. La mayoría de las veces, utilizan tácticas de manipulación conocidas para obligar a las personas a entregar información confidencial como credenciales de inicio de sesión, información personal y otros datos confidenciales para piratear la red de una organización y robar información.
Las vulnerabilidades conocidas del sistema también se explotan para obtener acceso y moverse sin ser detectados a través de la red de una organización, robando y comprometiendo datos a medida que avanzan. En los últimos años, las bandas de ransomware se han vuelto cada vez más populares ya que el ransomware se ha convertido en una de las principales amenazas cibernéticas. Los ciberdelincuentes utilizan ransomware para cifrar archivos que solo se pueden descifrar utilizando un descifrado proporcionado por la banda de ransomware para obtener un rescate.
El ransomware ha sido un gran generador de dinero.
Se necesita una comunidad para cometer un delito cibernético.
Cuando se trata de ransomware, generalmente no es un solo individuo que actúa por su cuenta, sino un grupo organizado de personas que actúan como desarrolladores o socios. Los desarrolladores crean el código de ransomware y las herramientas necesarias para cifrar los datos, mientras que los socios implementan y siguen adelante con el ataque. Esta forma de llevar a cabo un ataque de ransomware se conoce como ransomware-as-a-service (RaaS) ya que los desarrolladores están proporcionando a los socios el servicio a cambio de una cuota.
RaaS puede operar con desarrolladores que venden el código y las herramientas necesarias para llevar a cabo el ataque a socios fuera de su organización criminal, o pueden proporcionarlo a socios dentro de su banda por un precio y una parte del rescate cuando se paga. El modelo RaaS es popular ya que beneficia tanto a los desarrolladores como a los socios: los desarrolladores tienen garantizado un ingreso independientemente de si la organización objetivo paga o no el rescate, ya que los socios les pagan por adelantado, y los socios no necesitan ser excepcionalmente expertos en tecnología, ya que solo necesitan saber cómo implementar el ransomware, no crearlo y mantenerlo.
NetWalker se anuncia como RaaS desde marzo de 2020, según documentos producidos por el FBI. Al igual que otros modelos de RaaS, este está conformado por desarrolladores que crean el ransomware y socios que lo implementan en las organizaciones y empresas objetivo. Como se mencionó en un documento del FBI no sellado, dentro de NetWalker, los socios también son responsables de buscar e investigar organizaciones objetivo de «alto valor» para lanzar ataques usando paquetes de código de ransomware creados por los desarrolladores.
Las organizaciones son atacadas ya sea por los datos valiosos y confidenciales que poseen, que podrían interrumpir la funcionalidad de la organización, o debido a los vínculos que la información puede tener con otras organizaciones, individuos u otras alianzas privadas.
Un ataque múltiple
Como la mayoría de las bandas de ransomware, NetWalker no solo cifra los datos de su objetivo, sino que también los roba y los publica en línea. Según la investigación realizada por el FBI, los datos robados incluyen datos comerciales confidenciales, información de identificación personal individual, historiales médicos y educativos. En general, se cree que solo si el objetivo no paga el rescate, sus datos se publicarán en línea; sin embargo, no siempre es así, y como la mayoría de las organizaciones criminales, NetWalker no siempre respeta las reglas que ellos mismos crearon.
En mayo de 2020, el FBI se encontró con el blog de NetWalker que ayuda a la banda de ransomware a publicar datos robados de organizaciones objetivo. Una vez en la web oscura, el blog de NetWalker es fácilmente accesible para todos y cada uno de los ciberdelincuentes, ya que no está encriptado. La vigilancia del FBI registrada en un documento del FBI no sellado, revela que, en sus entradas, el blog de NetWalker nombra a la organización objetivo, un resumen de sus servicios y un enlace a dónde o cuándo se publicarán los datos de la organización. El blog también publica capturas de pantalla de la información confidencial para demostrar que son serios, una táctica de miedo en la que otras bandas de ransomware también participan.
No te pierdas la Parte 2 donde contaremos la historia de Sebastien Vachon Desjardins y comenzaremos a desentrañar cómo estafó a las organizaciones por millones de dólares a través de su alianza con NetWalker.
Cuanto más sabes
Comprender qué motiva a los delincuentes, quiénes son y cómo trabajan es una parte vital de la construcción de una organización más resistente. Ayuda a que la ciberseguridad sea más real para la gente común y ayuda a las personas y organizaciones a desarrollar planes para protegerse mejor de las amenazas cibernéticas. Considera compartir esta serie para ayudar a más personas a entender el crimen del siglo XXI y cómo protegerse.